w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile

Transkrypt

1 im Pszczółki Mai W Pile w Publicznym Przedszkolu Nr 7 im Pszczółki Mai w Pile Sporządziła: Beata Lewandowska Zatwierdziła: Lidia Wójciak 1 Niniejszy dokument jest własnością Publicznego Przedszkola nr 7 im Pszczółki Mai w Pile

2 im Pszczółki Mai W Pile Spis treści I Charakterystyka systemu 3 II Podstawowe pojęcia i skróty 3 III Ogólne zasady pracy w systemie 3 IV Procedury nadawania uprawnień 4 V Metody i środki uwierzytelnienia 5 VI Procedury rozpoczęcia, zawieszenia i zakończenia pracy 5 VII Procedury tworzenia i sposobu przechowywania kopii zapasowych 6 VIII Sposób zabezpieczenia systemu przed działalnością złośliwego oprogramowania 6 IX Przesyłanie danych poza obszar przetwarzania 7 X Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji 7 XI Podstawy prawne 8 XII Postanowienia końcowe 8 XIII Dokumenty powiązane 8 Niniejszy dokument jest własnością Publicznego Przedszkola nr 7 im Pszczółki Mai w Pile 2

3 im Pszczółki Mai W Pile I Charakterystyka systemu 1) Sieć informatyczną, w której przetwarzane są dane osobowe stanowią wszystkie pracujące w Przedszkolu obecne i przyszłe, komputery stacjonarne i przenośne, a także urządzenia peryferyjne i sieciowe 2) Sygnał internetowy dostarczany jest przez usługodawcę internetowego i odpowiednio zabezpieczony 3) System zabezpieczony jest oprogramowaniem antywirusowym zainstalowanym na każdym stanowisku oraz zasilaczami awaryjnymi utrzymującymi stałe zasilanie II Podstawowe pojęcia i skróty Słownik podstawowych pojęć oraz skrótów występujących w niniejszej instrukcji znajduje się w dokumencie Polityki Bezpieczeństwa Informacji w Publicznym Przedszkolu Nr 7 im Pszczółki Mai w Pile III Ogólne zasady pracy w systemie 1) Dyrektor odpowiada za korygowanie niniejszej instrukcji w przypadku uzasadnionych zmian w przepisach prawnych dotyczących przetwarzania danych osobowych w systemach informatycznych, jak również zmian organizacyjno-funkcjonalnych 2) Przetwarzanie danych w systemie informatycznym może być realizowane wyłącznie poprzez dopuszczone przez Dyrektora do eksploatacji licencjonowane oprogramowanie 3) Dyrektor prowadzi ewidencję oprogramowania 4) Do eksploatacji dopuszcza się systemy informatyczne wyposażone w: a) mechanizmy kontroli dostępu umożliwiające autoryzację użytkownika z pominięciem narzędzi do edycji tekstu, b) mechanizmy ochrony poufności, dostępności i integralności informacji z uwzględnieniem potrzeby ochrony kryptograficznej, c) mechanizmy umożliwiające wykonanie kopii bezpieczeństwa oraz archiwizację danych, niezbędne do przywrócenia prawidłowego działania systemu po awarii, d) urządzenia niwelujące zakłócenia i podtrzymujące zasilanie, Niniejszy dokument jest własnością Publicznego Przedszkola nr 7 im Pszczółki Mai w Pile 3

4 im Pszczółki Mai W Pile e) mechanizmy monitorowania w celu identyfikacji i zapobiegania zagrożeniom, w szczególności pozwalające na wykrycie prób nieautoryzowanego dostępu do informacji lub przekroczenia przyznanych uprawnień w systemie, f) mechanizmy zarządzania zmianami 5) Użytkownikom zabrania się: a) korzystania ze stanowisk komputerowych podłączonych do sieci informatycznej poza godzinami i dniami pracy Przedszkola bez pisemnej zgody Dyrektora, b) udostępniania stanowisk roboczych osobom nieuprawnionym, c) samowolnego instalowania i używania programów komputerowych, d) korzystania z nielicencjonowanego oprogramowania oraz wykonywania jakichkolwiek działań niezgodnych z ustawą o ochronie praw autorskich, e) umożliwiania dostępu do zasobów sieci Internetowej osobom nieuprawnionym, f) używania komputera bez zainstalowanego oprogramowania antywirusowego IV Procedury nadawania uprawnień 1) Do przetwarzania danych osobowych zgromadzonych w systemie informatycznym jak również w rejestrach tradycyjnych wymagane jest upoważnienie 2) Wprowadza się ewidencję osób upoważnionych do przetwarzania informacji w tym danych osobowych, który stanowi załącznik nr 5 do Polityki Bezpieczeństwa Informacji 3) Uprawnienia do pracy w systemie informatycznym odbierane są czasowo, poprzez zablokowanie konta w przypadku: a) nieobecności pracownika w pracy trwającej dłużej niż 21 dni kalendarzowych, b) zawieszenia w pełnieniu obowiązków służbowych 4) Uprawnienia do przetwarzania danych osobowych odbierane są trwale w przypadku ustania stosunku pracy 5) Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia nawet w przypadku ustania stosunku pracy Niniejszy dokument jest własnością Publicznego Przedszkola nr 7 im Pszczółki Mai w Pile 4

5 im Pszczółki Mai W Pile V Metody i środki uwierzytelnienia 1) System informatyczny przetwarzający dane osobowe wykorzystuje mechanizm identyfikatora i hasła jako narzędzi umożliwiających bezpieczne uwierzytelnienie 2) Hasło składa się z co najmniej ośmiu znaków, zawiera co najmniej jedną małą i wielką literę, jedną cyfrę lub jeden znak specjalny 3) Hasło nie powinno zawierać żadnych informacji, które można skojarzyć z użytkownikiem komputera (imiona najbliższych, daty urodzenia, inicjały, itp) i nie może być sekwencją kolejnych znaków klawiatury 4) W przypadku, gdy istnieje podejrzenie, że hasło mogła poznać osoba nieupoważniona, użytkownik zobowiązany jest do zgłoszenia tego faktu Dyrektorowi do natychmiastowej zmiany hasła 5) Zmianę hasła należy dokonywać nie rzadziej niż co 30 dni 6) Hasło nie może być zapisywane i przechowywane 7) Użytkownik nie może udostępniać identyfikatora oraz haseł osobom nieupoważnionym VI Procedury rozpoczęcia, zawieszenia i zakończenia pracy 1) Każdy pracownik korzystający z systemu informatycznego przystępując do pracy powinien podać swoje dane dostępu do komputera i systemu, tj identyfikator i hasło 2) Zawieszenie pracy polega na opuszczeniu stanowiska pracy bez wylogowania się i jest dopuszczalne tylko w przypadku pozostania w pomieszczeniu Użytkownik jest zobowiązany w takiej sytuacji do włączenia wygaszacza ekranu odblokowywanego hasłem 3) Zakończenie pracy w systemie następuje poprzez prawidłowe, wymagane przez daną aplikację oraz system operacyjny, wykonanie czynności kończących Niedopuszczalne jest zakończenie pracy poprzez wyłączenie napięcia zasilającego bez pełnej procedury zamknięcia 4) Ekrany monitorów stanowisk komputerowych, na których odbywa się przetwarzanie danych osobowych powinny być w miarę możliwości tak umieszczone, aby uniemożliwić wgląd w dane osobom postronnym przebywającym w pomieszczeniu oraz powinny automatycznie się wyłączać poprzez stosowanie wygaszaczy ekranowych uruchamiających blokadę pracy na komputerze Niniejszy dokument jest własnością Publicznego Przedszkola nr 7 im Pszczółki Mai w Pile 5

6 im Pszczółki Mai W Pile 5) Osoba przetwarzająca dane osobowe w przypadku konieczności opuszczenia pomieszczenia, obowiązana jest prawidłowo, zgodnie z instrukcją obsługi systemu, zakończyć pracę w systemie VII Procedury tworzenia i sposobu przechowywania kopii zapasowych 1) Dane osobowe zabezpiecza się poprzez wykonywanie kopii awaryjnych 2) Za proces tworzenia kopii programów odpowiedzialny jest użytkownik systemu Kopie przechowywane są w zamkniętej szafie w wydzielonym i zabezpieczonym pomieszczeniu 3) Kopie awaryjne mogą być sporządzane automatycznie lub manualnie z wykorzystaniem specjalistycznych urządzeń do wykonywania kopii lub standardowych narzędzi oferowanych przez stacje robocze 4) Pliki edytorów tekstu lub arkuszy kalkulacyjnych traktowane są jak kopie zbiorów, z których pochodzą przetwarzane w nich dane i nie są objęte procedurami wykonywania kopii awaryjnych 5) Nośniki, na których są przechowywane kopie danych osobowych powinny być wyraźnie oznaczone 6) Komputery przenośne oraz inne mobilne nośniki danych osobowych powinny być zabezpieczone ochroną kryptograficzną powinny być zaszyfrowane 7) Kopie usuwa się niezwłocznie po ustaniu ich użyteczności w sposób uniemożliwiający odtworzenie danych 8) Użytkownik tworzy wydruki związane z przetwarzaniem danych osobowych wyłącznie w zakresie i ilości niezbędnej dla celów służbowych w uzgodnieniu z przełożonym 9) Wszystkie dokumenty, zestawienia i wydruki zawierające dane osobowe powinny być chronione przed dostępem osób nieupoważnionych 10) Użytkownik przechowuje dokumenty w zamkniętej szafie w pomieszczeniu zabezpieczonym przed nieuprawnionym dostępem VIII Sposób zabezpieczenia systemu przed działalnością złośliwego oprogramowania 1) Dyrektor zapewnia ochronę antywirusową Niniejszy dokument jest własnością Publicznego Przedszkola nr 7 im Pszczółki Mai w Pile 6

7 im Pszczółki Mai W Pile 2) System antywirusowy jest skonfigurowany w sposób zapewniający na bieżąco skanowanie wszystkich informacji przetwarzanych w systemie, a zwłaszcza poczty elektronicznej i stron internetowych 3) System antywirusowy ma aktywną funkcję automatycznej aktualizacji wzorców wirusów 4) Użytkownicy systemu mają obowiązek skanowania każdego zewnętrznego elektronicznego nośnika informacji, który chcą wykorzystać IX Przesyłanie danych poza obszar przetwarzania 1) Urządzenia i nośniki zawierające dane osobowe, przekazywane poza obszar przetwarzania zabezpiecza się w sposób zapewniający poufność i integralność tych danych, w szczególności poprzez zastosowanie ochrony kryptograficznej 2) W wypadku przesyłania danych osobowych przez sieć internetową pocztą elektroniczną należy każdy z załączników zabezpieczyć ochroną kryptograficzną poprzez nadanie hasła odczytu Hasło należy przesłać lub podać odbiorcy w innej przesyłce, a najlepiej z wykorzystaniem innych metod komunikacji (tel, faks, bezpośrednia rozmowa) 3) Zabrania się przekazywania danych przez aplikacje internetowe nie wykorzystujące odpowiedniego protokołu szyfrowania (adres internetowy musi być poprzedzony zapisem https ) X Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji 1) Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: a) likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie, b) przekazania podmiotowi nieuprawnionemu do przetwarzania danych pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie, c) naprawy pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem wyznaczonego pracownika Przedszkola Niniejszy dokument jest własnością Publicznego Przedszkola nr 7 im Pszczółki Mai w Pile 7

8 im Pszczółki Mai W Pile 2) Instalacji, konserwacji oraz napraw sprzętu komputerowego dokonują pracownicy firm wskazanych przez Dyrektora 3) Przeglądy i konserwacje systemu oraz nośników informacji służących do przetwarzania danych mogą być wykonywane jedynie przez osoby posiadające upoważnienie wydane przez Dyrektora lub posiadające umowy na powierzenie przetwarzania danych w zakresie konserwacji i napraw 4) Wszelkie prace związane z naprawami i konserwacją systemu informatycznego przetwarzającego dane osobowe muszą uwzględniać zachowanie wymaganego poziomu zabezpieczenia tych danych przed dostępem do nich osób nieupoważnionych XI Podstawy prawne Podstawy prawne niniejszej IZSI znajdują się w dokumencie Polityki Bezpieczeństwa Informacji w Publicznym Przedszkolu Nr 7 im Pszczółki Mai w Pile XII Postanowienia końcowe 1) W sprawach nieuregulowanych niniejszą IZSI odpowiednie zastosowanie mają reguły i procedury zawarte w dokumentach powiązanych 2) wchodzi w życie z dniem podpisania XIII Dokumenty powiązane 1) Polityka Bezpieczeństwa Informacji w Publicznym Przedszkolu Nr 7 im Pszczółki Mai w Pile 2) Instrukcja Postępowania w Sytuacji Naruszeń 3) Polityka Ochrony Danych Osobowych w Publicznym Przedszkolu Nr 7 im Pszczółki Mai w Pile 4) Polityka Ochrony Dzieci w Publicznym Przedszkolu Nr 7 im Pszczółki Mai w Pile (podpis Administratora Danych) Niniejszy dokument jest własnością Publicznego Przedszkola nr 7 im Pszczółki Mai w Pile 8